- 707 名前:login:Penguin [2008/02/23(土) 10:52:12 ID:+5LIG1Ds]
- >>705
> CGIが増やしたプロセスの中に不正なプロセスが紛れ込んでいる
この機能は、CGIからシェルを起動できる条件を厳しくするために使います。
Apache プロセス内で動作するCGIから /bin/sh の実行を要求されることがありますが、
「CGIによる正当な実行要求」なのか「バッファオーバーフローによる不当な実行要求」なのかを
判断する材料がありません。(どちらも Apache プロセスだからです。)
そのため、過去にどのような処理が要求されたかという情報を状態変数として保持しておくことで、
シェルの実行要求を認めるかどうかの判断材料として使えるようにするものです。
例えば 192.168.1.xxx から接続してきた場合のみ管理用コマンドの実行を
許可するといった使い方ができるようになります。
もちろん、実行時のパラメータチェックと組み合わせて使えます。
さらに、ログイン認証の強化(ケロちゃんチェック)でも使えます。
例えば /etc/fstab をオープンしてから認証プログラムを実行しないと認証が成功しないとか、
/etc/mtab を3回オープンすると次のステージに進むためのプログラムを実行できるようになるとか。
忍者屋敷化(からくり屋敷?迷路?)に一層の拍車をかけることができます。
侵入者が屋敷の玄関まで到達できても、屋敷の中には見えない障壁がいっぱいあって先へ進めない、
そんな状況を「想像」(この機能を使うことで「創造」)してください。
イベントの発生順序でアクセスを制限する TOMOYO Linux は、悪人がログインできない世界を創り出すのに最適なのです。
> あぁ せんせ〜は海外逃亡中みたいでつね
インターネット常時接続環境のない場所で難儀しているようです。
|
 |
